Ist BadBIOS möglich? Teil 1: Die Infektion des BIOS
Ab dieser Folge dreht sich alles um die Frage, ob ein Super-Schädling wie es der von Dragos Ruiu beschriebene BadBIOS sein soll, möglich ist. Sprich, ob seine Funktionen so oder so ähnlich bereits irgendwo implementiert wurden. Die Frage, ob es BadBIOS gibt, steht später auf dem Programm. Denn in der Hinsicht sind sich die Experten, die die von Dragos Ruiu bereitgestellten Daten untersuchen, und Dragos Ruiu selbst bisher nicht einig. Auf den aktuellen Stand der Forschungen (oder Ermittlungen?) werde ich entweder in einem der nächsten “Standpunkte” oder im Anschluss an die Machbarkeitschecks eingehen – Je nachdem, ob sich BadBIOS bis dahin als Phantasie oder als tatsächliche Bedrohung erwiesen hat.
Sind BIOS-Infektionen möglich?
Im folgenden werde ich die (angeblichen?) Fähigkeiten von BadBIOS der Reihe nach auf ihre Machbarkeit untersuchen. Ich richte mich dabei an die Reihenfolge der Fähigkeiten in meiner Beschreibung von BadBIOS.
BadBIOS installiert sich in der Firmware der Rechner (BIOS, UEFI) und übersteht ein Flashen des BIOS.
Fangen wir mit dem ersten Teil an: Kann sich Schadsoftware im BIOS einnisten? Das BIOS (Basic Input/Ouput System) enthält den Code zum Starten des eigentlichen Betriebssystems und die Treiber, die das Betriebssystem für den Zugriff auf die Hardware benötigt. Wobei letztere inzwischen meist obsolet sind, da die Betriebssysteme eigene Treiber enthalten. Das BIOS wird heutzutage in Flash-Speichern gespeichert und kann dort auch aktualisiert werden. Und das bedeutet natürlich auch, das Schadcode es unter Umständen manipulieren und eigenen Code einschleusen kann.
Entsprechende Untersuchungen gab es zum Beispiel von Alfredo Ortega und Anibal Sacco, präsentiert auf der Sicherheitskonferenz CanSecWest 2009 (“Persisent BIOS Infection”, PDF) oder von John Butterworth, Corey Kallenberg und Xeno Kovah, die ihre Ergebnisse auf der “Black Hat USA 2013” vorgestellt haben (“BIOS Security”). Auf der “Black Hat USA 2012” hat Loukas K ein Rootkit auf Basis der UEFI-Firmware der Intel-Macs präsentiert (“De mysteriis dom jobsivs: Mac EFI Rootkits”). Prinzipiell ist es also möglich, dass sich Schadsoftware im BIOS einnistet und damit noch vor dem Betriebssystem aktiv wird. Dass es das dann nach Belieben manipulieren kann, dürfte klar sein.
Ein gern gebrachtes Argument gegen BadBIOS ist dessen notwendige Größe: Im BIOS ist gar nicht genug Platz für einen großen Schädling. Das ist auch gar nicht nötig, der größte Teil des Schadcodes kann problemlos auf der Festplatte gespeichert werden. Das machen übrigens die BIOS/Firmware-Entwickler selbst auch nicht anders. Insbesondere in Festplatten wird die Firmware heutzutage meist auf derselben gespeichert, im ROM (oder dessen Entsprechung) befindet sich dann nur der Code, der die eigentliche Firmware von der Festplatte lädt und startet. Und jetzt raten Sie mal, was passiert, wenn diese nachgeladenen Codeteile Schadcode enthalten…
Kommen wir zum zweiten Teil: BadBIOS übersteht ein Flashen des BIOS, also das Installieren einer neuen, einwandfreien BIOS-Version. Die Schadsoftware muss dazu also noch irgend wo anders als nur im Rechner-BIOS verankert sein, zum Beispiel in der Firmware von Festplatte, Grafik- und Netzwerkkarte oder sämtlicher sonstiger Hardware mit eigener Firmware. Und davon gibt es mehr, als Sie auf den ersten Blick vermuten würden. Denn die meisten Geräte werden inzwischen über Microcontroller gesteuert, und die brauchen natürlich eine Firmware, um arbeiten zu können.
Auch zur dauerhaften Kompromittierung von Hardware gibt es bereits entsprechende Untersuchungen, zum Beispiel hat John Heasman schon auf der “Black Hat Europe 2006” die Implementierung und Erkennung eines BIOS-Rootkits über das “Advanced Configuration and Power Interface” (ACPI) beschrieben (“Implementing and Detecting An ACPI BIOS Rootkit”, Präsentation als PDF), und auf der “Black Hat DC 2007” folgte unter dem Titel “Firmware Rootkits and the Threat to the Enterprise” ein Vortrag über die Implementierung und Erkennung eines PCI-Rootkits (Paper als PDF, eine frühere Version des Papers (PDF) wurde bereits im November 2006 veröffentlicht). Es gibt aber auch aktuelle Forschungsergebnisse, zum Beispiel von Jonathan Brossard, präsentiert auf der “Black Hat USA 2012”. Der Titel seines Vortrags sagt wohl schon alles relevante aus: “Hardware Backdooring is practical”. Das Firmware allgemein von Schadsoftware unterwandert sein kann, hat zum Beispiel Ruben Santamarta auf der “Black Hat USA 2012” gezeigt: “Here be Backdoors: A Journay into the Secrets of Industrial Firmware”. Und Charlie Miller hat auf der “Black Hat USA 2011” die Manipulation der Firmware von Notebook-Akkus vorgeführt: “Battery Firmware Hacking” (wobei es da eher darum ging, den Akku und evtl. das Gerät in dem er steckt in Sondermüll zu verwandeln). Hier relevanter sind die Ergebnisse von Jeroen Domburg, der erfolgreich die Firmware einer Festplatte modifiziert hat. Seine Ergebnisse hat er auch auf der “OHM 2013” präsentiert: “Hard disks: More than just block devices” Eine entsprechend modifizierte Festplatte könnte durchaus das BIOS nach dem Flashen erneut mit Schadsoftware infizieren.
Fazit: Eine Infektion des BIOS und das Überstehen des Flashens des BIOS sind möglich.
Wobei es hier nur um die prinzipielle Möglichkeit geht. Die Umsetzung des Prinzips in eine Schadsoftware, die auf jedem beliebigen Rechner funktioniert, ist das entscheidende Problem. Denn es gibt nicht “das BIOS” oder “die Firmware”, sondern immer eine an die jeweilige Hardware angepasste Variante. Ein Schädling, der jede beliebige Hardwarekonfiguration angreifen soll, muss dafür auf jede mögliche Firmware zurückgreifen können. Und das dürfte ein kaum zu lösendes Problem sein. Aber darauf komme ich später noch zurück.
Es wird ein Hypervisor geladen, das vorhandene System kann also heimlich virtualisiert werden.
Dieser Ansatz ist in der Theorie schon seit längerem bekannt: SubVirt und Blue Pill, zwei Rootkits die das angegriffene System virtualisieren, wurden bereits 2006 vorgestellt. Entsprechende Angriffe gab es bisher nicht “in the wild”, aber das hat sich jetzt ja vielleicht geändert.
Fazit: Eine Virtualsierung des angegriffenen Systems ist möglich.
Nachdem das BIOS kompromittiert wurde kann der Rechner nicht mehr von externen Laufwerken booten, egal welche Einstellungen gemacht werden.
Das ist ebenso einfach zu erklären wie zu erreichen: Wenn das BIOS kompromittiert wurde, kann es die Einstellungen ganz einfach ignorieren und prinzipiell von der internen Platte booten. Ich spare mit die Suche nach Belegen dafür, denn das kann von jeden BIOS-Entwickler und insbesondere natürlich von einem, der das vorhandene BIOS manipulieren kann, auch einfach neu implementiert werden.
Fazit: Die Manipulation des Bootvorgangs ist möglich.
Schadsoftware kann sich also im BIOS einnisten, einen Hypervisor laden und das Booten von externen Laufwerken verhindern. Bisher wurde BadBIOS also nichts zugesprochen, was nicht auch machbar ist. In der nächsten Folge geht es mit dem Machbarkeitsprüfungen weiter, zuerst mit den Angriffen auf bzw. über USB-Geräte.
Übersicht über alle Artikel zum Thema
- BadBIOS – Ein neuer Superschädling?
- Ist BadBIOS möglich? Teil 1: Die Infektion des BIOS
- Ist BadBIOS möglich? Teil 2: USB-Manipulationen
- Ist BadBIOS möglich? Teil 3: Angriffe auf mehrere Systeme und mehr
- Ist BadBIOS möglich? Teil 4: Air-Gaps über Audiosignale überbrücken
- Ist BadBIOS möglich? Teil 5: Stolperstein BIOS
- Ist BadBIOS möglich? Teil 6: Stolperstein USB-Firmware und mehr
Trackbacks
Keine Trackbacks
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
ChilliWilli am :
Warum steht der nicht bei Heise?
VG
cw
Carsten Eilers am :
Danke für das Lob.
Der steht nicht bei Heise, weil ich nicht für Heise arbeite.
MfG
Carsten Eilers
Lars Baumstark am :
Eine Anmerkung zum "Ziel des Angriffs": Natürlich wäre das wie Blaster auf Spatzen, aber es ist ja auch nicht ausgeschlossen, dass weit mehr Systeme betroffen sind (an viel interessanteren Stellen wie Behörden, in Firmen etc.). Und evtl. ist Dragos eben nur der erste, der das (bei sich) entdeckt hat und sich damit an die Öffentlichkeit traut. Und das bei eher dünner Faktenlage und mit einem Ruf, der zu verlieren ist.
Carsten Eilers am :
Ich gehe auch davon aus, dass Dragos sich das Ding irgendwo zufällig eingefangen hat. Stuxnet ist ja auch nur durch Zufall (+ Programmierfehler) aus den iranischen Atomanlagen raus gekommen. Wäre das nicht passiert, hätten wir davon vermutlich nie erfahren.
Dummerweise wirft das gleich etliche neue Fragen auf, zum Beispiel:
Wo wurde sein erster Rechner infiziert oder wer hat das Ding bei ihm eingeschleppt? Das wird sich nach der langen Zeit leider nicht mehr feststellen lassen. Vor allem, weil man ja gar nicht weiß, wie lange die Infektion unentdeckt blieb.
Wen hat er alles infiziert, bevor er die erste Infektion bei sich entdeckt hat?
Und wieso springen die AV-Hersteller eigentlich nicht darauf an? Sollten die nicht als erste daran interessiert sein, Existenz oder Nichtexistenz von BadBIOS zu beweisen? Da ist Schweigen im Walde angesagt, außer den paar Kommentaren am Anfang habe ich nichts mehr darüber in den Blogs etc. gelesen. Bei den Amis könnte man auf die Idee kommen, dass die von oben einen auf den Deckel bekommen haben und die Klappe halten müssen. Aber was ist mit Kaspersky? Bei Stuxnet und Co. haben die immer mit zuerst Alarm geschrien – und jetzt nichts? Irgendwie ist das schon merkwürdig. Ich würde ein "Gibt es nicht!" oder "Gibt es, wird von unserem tollen Scanner natürlich schon seit 1850 erkannt!" erwarten.
Irgendwie scheint das mehr oder weniger im Sande zu verlaufen. Und das bei einer so großen potentiellen Bedrohung? Naja, zumindest weiß ich schon, über was ich in meinem Rückblick auf 2013 schreiben werde.
Thorsten Korsch am :
Ich wurde erst vor Kurzem durch versch. Artikel auf Spiegel Online über unsere ‘Freunde’ von der NSA auf badBIOS aufmerksam. Insbesondere, was die Jungs schon bis 2008 alles konnten und gemacht haben, hat mich in Erstaunen versetzt. Und ich halte mich eigentlich für einem Menschen mit einigem Vorstellungsvermögen.
Da die Entwicklungsabteilung der NSA die letzten fünf Jahre sicherlich fleißig weitergebastelt hat, halte ich so etwas wie badBIOS grundsätzlich für absolut plausibel. Wie gesagt – technische Machbarkeiten kann ich nicht wirklich einschätzen.
Auf Chip.de las ich, "Dragos Ruiu hat der Sicherheitsfirma Sophos jedoch bereits angeboten, ein Sample von BadBIOS zur Verfügung zu stellen."
Ist in diese Richtung mittlerweile etwas geschehen? Oder etwas anderes, das die Glaubwürdigkeit von Ruiu besser einschätzen lässt? Der Mann hat immerhin einen Ruf zu verlieren. Ich würde mich freuen, wenn Sie auf Ihrer Seite an dem Thema dran blieben.
Ein gutes 2014!
Carsten Eilers am :
erst mal: Danke! Und ein Frohes Neues Jahr!
In der Tat: Je mehr man über die Machenschaften der NSA hört, desto wahrscheinlicher erscheint einem BadBIOS.
Was Sophos betrifft: Da (und bei den anderen Antiviren-Herstellern) herrscht Schweigen im Walde. Was ich sehr merkwürdig finde, siehe
Teil 6.
Dass die AV-Hersteller eine Gelegenheit zum "Wir erkennen das schon seit 1850" auslassen, ist doch ziemlich verdächtig. Man könnte fast vermuten, die sagen sicherheitshalber gar nichts, damit man sie später nicht bei einer Lüge erwischen kann.
Viele Grüße
Carsten Eilers
arras am :
Sie werden sich wundern über die im "Betreff" gemachte "Bad BIOS"
Überschrift, es ist in der Tat eine unerkannte – und unerfreuliche –
Tatsache.
Zunächst möchte ich mich bei Ihnen vorstellen: Ich bin F.J. Mertes, geb.
1947. Mein beruflicher Werdegang ist untrennbar mit Computern verbunden,
erst im Angestelltenverhältnis und dann als Unternehmer im eigenen
Unternehmen mmc Computer bis zum Ende durch einen Schlaganfall im Jahre
1997.
Ich besitze mehrere PCs, Marke "Eigenbau" mit unterschiedlichen
Mainboards, angefangen von BIOSTAR bis GIGABYTE.
Seit Oktober 2014 habe ich seltsame Probleme, erst an Windows XP. Ich
dachte an Virenbefall, trotz unterschiedlichen AV-Programmen. Dann
untersuchte ich die Festplatten, ob sie die Partitionen verändert
hatten. Dabei machte ich eine unliebsame Feststellung: Die
Partition-grenze der obersten Partition war nach unten verschoben um ca.
10 GB (von 1 TB). Mit verschiedenen AV-Programmen aus der LINUX-Welt
versuchte ich die befallenen Portionen zu löschen – sie waren resistent.
Seit Januar 2015 weiß ich nun, daß ich den "Bad BIOS" eingefangen habe,
kein AV-Virenprogramm hilft, da diese ins Leere greifen.
Ich habe alle möglichen Programme laufen lassen,
aber bei allen
Programmen dieser Art scheide ich an den Dateigrenzen, die das zur
Bearbeitung verfügbare Sektoren abgrenzen. Lediglich eine alte Version
des ubuntu-Programms (10.04 LTS) als LIFE-CD zeigte einen Fehler in der
Partition sd0, der nicht zu löschen ist. (misaligned parition by 512
bytes, Error, löschen nicht möglich)
Soweit der Plattenfehler, er ist nur ein ein Indices.
Viel schlimmer ist der eigentliche – von mir als "Bad BIOS" getaufte –
Fehler im Bereich des BIOS. In voraus liegen Fällen konnte ich mittels
eines USB-Sticks bei GIGABYTE Mainboards den BIOS wieder zum Leben
bringen, allerdings nur einmal, mehr geht nicht. (78LMT-USB3)
Mit dem neuen BIOS lief das System an, bis erneute Fehler (Ausfall aller
USB-Ports, unsinnige Fehler usw) das Arbeiten unmöglich machte.
Ich speckte den Rechner immer mehr ab , bis zum Minimal-System (keine
Festplatte, keine Graphikkarte, nur eine nagelneue SSD-Platte, neues
Board. Der Fehler blieb. Ein Test der SSD-Platte zeigte Folgendes:
Plattengröße von 256 GB auf 235 GB geschrumpft. (unbelegt und belegt).
Und wieder die Fehlermeldung aus der ubuntu CD, die war vorher O.K. Das
einzig alte war das Netzgerät und das DVD-Laufwerk, der Rest war nagelneu.
Wer kann mir noch Rat und Tat geben ?
Mit freudlichen Grüßen
F.J. Mertes
Carsten Eilers am :
erstmal bitte ich um Entschuldigung für die verzögerte Freischaltung. Aber da Ostern war…
Zu Ihrem Problem:
Wenn Sie sich wirklich BadBIOS eingefangen haben (für dessen Existenz es bisher ja außer den Aussagen von Dragos Ruiu keine weiteren Beweise gibt, allerdings ebensowenig wie überzeugende andere Erklärungen für Dragos Ruius Beobachtungen) dürfte das alte DVD-Laufwerk Ursache der Neuinfektion sein, denn BadBIOS würde ja dessen Firmware auch infizieren.
Da hilft dann nur, alles zu entsorgen und mit einem komplett neuen Rechner samt Peripherie zu beginnen. Und "alles" umfasst dann auch sämtliche externen Festplatten, auch da könnte BadBIOS ja in Festplatten- und/oder USB-Firmware stecken. Das wäre dann aber ein reichlich teuerer Spass.
Hmmmh…
Ein Verschwörungstheoretiker könnte jetzt auf die Idee kommen, dass BadBIOS existiert und von den Hardwareherstellern entwickelt wurde, um den Umsatz anzukurbeln. Oder von den Cloud-Speicherdiensten, denn wenn man alle Festplatten entsorgt muss man seine Daten ja zumindest temporär in der Cloud speichern, um sie auf neue Geräte zu übertragen. Eine direkte Verbindung zwischen alten und neuen Geräte darf es ja wegen der Gefahr einer BadBIOS-Infektion nicht geben.
Viele Grüße
Carsten Eilers
Franz Josef Mertes am :
für die schnelle Antwort herzlichen Dank.
Ich habe alle Ihre Stellungsnahmen zu BadBIOS durchgelesen, auch die aus amerikanischen Blättern…
Es ist genau so, wie es dort geschrieben ist, aber mit diesem Unterschied: Meine Rechner haben das BadBIOS ! Es ist keine Halluzination, wie in den Foren beschrieben worden ist. Das Thema ist: BadBIOS Viren, aber was für einen..
Sie sagen daß "alles" gelöscht werden muß und mit einem neuen PC gestartet werden muß. Sie können diese "Biester" nicht löschen, auch nicht mit den üblichen Uberschreib-Programmen, weil sie am kritischen Punkt hängen bleiben. Ich habe eine CD mit Notfall-Programmen (u.a. DBAN) in Linux. Nichts hilft !
Daß ich das halbe Leben wegwerfen soll, nur weil wir zu unfähig sind, den Virus einzufangen und die "Hintertür" Flash-Speicher zu zu machen, das zeigt sie Ohnmacht unserer Gesellschaft. Wir haben in den siebzigern Jahren, als es noch Zeit war, geschlafen. Heute ist alles zu spät. Es kommt der Schnittstellen-IC aus China, eingebaut in allem, was mit "Strom" zu tun hat. Wie wollen wir die verlorene Zeit einholen ?
In meiner Zeit als Unternehmer und Kopf der Gesellschaft "mmc Computer" habe ich immer davor gewarnt, die Dinge wegzugeben und die "Computerei" andern zu überlassen.Ich kann sagen, kein Virus hat je die Schwelle des Hauses "mmc" überschritten, weil wir eigene Computer mit eigenem Betriebssystem, eigene CPU und eigene Hochsprachen (MMC-PASCAL) hatten und nichts anderes.
Aber die Zeit ist vorbei. Leider.
Mit freundlichen Grüßen
F.J. Mertes
Carsten Eilers am :
ganz richtig: Löschen geht nicht.
Darum schrieb ich ja auch "Da hilft dann nur, alles zu entsorgen und mit einem komplett neuen Rechner samt Peripherie zu beginnen."
Denn es gibt heutzutagen kaum noch etwas, was irgendwie mit einem Computer verbunden wird und nicht eine Firmware in einem Flash-Speicher hat. Und damit theoretisch von Schadsoftware infiziert werden kann, sofern es keinen passenden Schutz (wie zum Beispiel ein Schreibschutz des Flash-Speichers) gibt. Und wenn ein Schädling erst mal im Flash-Speicher der Peripherie steckt findet es auch einen Weg, den Rechner (erneut) zu infizieren.
Viele Grüße
Carsten Eilers
Franz Josef Mertes am :
nach dem ich meine Rechner vom Netz genommen und entsorgt hatte, wollte ich mit einem nagelneuen PC, neuem Monitor und neuer Peripherie (Tastatur, Maus) es wagen, den Rechner mit Win 7 auszurüsten und zu starten.
Ich arbeitete zunächst offline, d.h. ohne WLAN-Anschluß.
Der Rechner startete normal, ohne besondere Vorkommnisse.
Nach etwa 4 Stunden ging ich zum online Betrieb über, lud einige Programme und sah, wie die Programmoberfläche des Desktop-Programms sich veränderte und die Uhraltversion des Win 7 annahm.
Ich prüfte alle WLAN-Anschlüsse im Haus. Alle Rechner waren ausgeschaltet und entfernt, lediglich ein Drucker war am Netz, aber ausgeschaltet.
Woher kam die alte Win 7 ?
Es war dieselbe Software, vor der ich seit 2 Jahren arbeitete und bis zu jetzt problemlos, bis zum USB-Stick Auswechseln mit den bekannten Problemen. (siehe auch: BadBIOS ..)
Das läßt nur den Schluß zu, daß der Virus über das Netz gekommen sein muß, andere Ursachen schließe ich aus….
Oder gibt es noch weitere Quellen ?
Mit freundlichen Grüßen
F.J. Mertes
Carsten Eilers am :
wenn nichts direkt am Rechner angeschlossen war muss der Schädling übers Netz gekommen sein.
Und wenn im lokalen Netz kein anderer Rechner lief, der den neuen infizieren könnte, muss der aus dem Internet stammen.
Waren denn die herunter geladenen Programme sauber?
Darüber kann man sich schnell mal was einfangen, entweder weil eigentlich harmlose Programme manipuliert wurden oder weil man auf einen Trojaner oder Software mit "kostenlosen Zugaben" herein gefallen ist.
Mir ist nur kein Schädling bekannt, der sich so offensichtlich zu erkennen gibt. Das klingt für mich eher nach einer unbemerkten Änderung durch irgend ein Programm.
Viele Grüße
Carsten Eilers
Andrea am :
Ihrem Artikel möchte ich gerne ein Update zur Verfügung stellen, welches direkt vom Hersteller Intel stammt und aktuell auf den 14. Juli 2015 datiert ist.
Intel hat dieses Teil unter die Finger bekommen und dieses Teil ist schlimmer als gedacht:
http://www.intelsecurity.com/advanced-threat-research/ht_uefi_rootkit.html_7142015.html
Denn dieses Teil ist kein normales Virus, nein es ist ein Rootkit dass sich veradmmt tief ins BIOS einnisten kann und es kann sogar noch mehr…
Carsten Eilers am :
Danke für den Hinweis!
Was Intel da untersucht hat ist aber das UEFI-Rootkit von Hacking Team. Einen Überwachungssoftware-Hersteller aus Italien, dessen Server gehackt wurden. Das hat mit BadBIOS sehr wahrscheinlich nichts zu tun, jedenfalls fehlt der Software von Hacking Team ein Teil der BadBIOS-Funktionen.
Aber die Funktionen vom diesen UEFI-Rootkit sind in der Tat übel.
Ich glaube, bei Gelegenheit sollte ich mal ein bisschen was zu UEFI-Rootkits schreiben, der letzter Rootkit-Artikel ist schon wieder einige Zeit her.
Viele Grüße
Carsten Eilers
Hiro Protago am :
Betriebssysteme verwalten den Speicher einer Partition doch mit allen Rechten und können sich je nach Version mal mehr oder weniger Speicher einverleiben (reservieren) ohne ihn zu kennzeichnen.
Seine Hardware deswegen zu entsorgen, naja. Da frisst aber ordentlich viel Angst mit. Trotzdem Grüße auch an F.J., ich habe früher den einen oder anderen MMC PC in Händen gehalten, glaube ich mich zu erinnern oder war das nicht Mutschler und Martin. Egal, eine nette Erinnerung.
Auf welchem Weg und in welcher Sprache soll der Code im BIOS seinen benötigten Rest ziehen um sich zu komplettieren? Ein Port ggf.? Es gibt kein externes System, welches ihn aufspüren soll? Er schreibt sich nun mal selbst in die Firmware, das können dann auch andere, um ihn zu entsorgen.
Interessant ist doch auch in den externen Berichten, dass Regierungen weltweit u.a. von den U.S.A und islamischen Aktivisten durch den Virus infiltriert wurden. Das klingt sehr nach Meinungsmache, Propaganda und Einschüchterung.
Wenn wir aber davon ausgehen, dass es stimmt, müssen wir die Geräte abschalten. Aber auch darauf achten, was wir uns sonst noch so einverleiben, denn wovor hat man denn Angst? Das Haus fliegt in die Luft, kurz vorher sieht man noch den Koran auf dem Bildschirm oder eine amerikanische oder russische Flagge? Bevor das passiert, sind wir schneller an den Weichmachern in der Butter, den mit Pestiziden, Antibiotika und Schwermetallen angereicherten Lebensmitteln erkrankt und gestorben. Du bekommst Krebs, Du stirbst und hast das einfach der Industrie und Forschung zu verdanken. Madam Curie ist an Ihrer Forschung gestorben.
Vielleicht sollten wir akzeptieren wie wir sind und ggf. versuchen im Kleinen etwas zu ändern. Ich trinke beispielsweise Milch von Kühen, die nicht in Anbindehaltung sondern Draußen leben, ich esse nahezu kein Fleisch mehr und mache viel Sport. Das Ergebnis, ich zahle das Fünffache mehr und verbrauche mehr als das Fünffache weniger..
Aber ich schweife ab. Gibt es jemanden der von der Existenz des Virus spricht und nicht nebenbei davon profitiert?
Beste Grüße Hiro
Carsten Eilers am :
wenn der Schädling sich wirklich im BIOS und der Peripherie etc. eingenistet hat bekommt man ihn nicht mehr so einfach raus. Vor allem kann man nie sicher sein, dass er nicht doch noch irgendwo drin steckt. Dann ist neue Hardware die einzige Möglichkeit, wieder an einen sauberen Rechner zu kommen. Falls die die NSA nicht unterwegs abfängt und verwanzt… Also am besten alles selbst bauen, vom Abbau der Bodenschätze an.
Bösartige Firmware für alle möglichen Rechner kann ich mir wie schon geschrieben eigentlich nicht vorstellen. Gezielte Angriffe sind kein Problem, aber so wie BadBIOS es angeblich tut von Rechner zu Rechner zu hüpfen und immer ein passendes BIOS aus dem Hut zu ziehen dürfte auch die Geheimdienste & Co. überfordern.
Ich bin mir aber nicht sicher, ob überschreiben des BIOS reicht. Angeblich steckt BadBIOS ja auch in Peripherie etc. und kann den Rechner immer wieder neu übernehmen.
Die Berichte sind meist Panikmache. Was micht stört, sind die fehlenden Berichte der AV-Hersteller. Seit wann lassen die eine Möglichkeit zur Werbung ungenutzt? Aber da kommt weder was wie "BadBIOS gibt es, aber unser Super-Duper-Scanner erkennt und löscht den sei 1850" noch "BadBIOS gibt es nicht, weil …". Die ignorieren den einfach, obwohl Dragos Ruiu angeboten hat, den AV-Herstellern Proben zur Verfügung zu stellen.
Da könnten natürlich verschwörungstheoretisch die Geheimdienste hinter stecken. Aber da müssten dann schon etliche Staaten zusammen arbeiten und ihre lokalen AV-Hersteller unter Druck setzen. Und kann sich irgend wer vorstellen, dass sich z.B. USA und Russland zusammen tun, um eine Schadsoftware zu vertuschen? Ich nicht.
Das Haus fliegt in die Luft… also mit IoT, Heizungssteuerung und Gasheizung lässt sich da bestimmt was drehen. Also besser nicht beschreien!
Auf eine handfeste Bestätigung von BadBIOS warte ich seit den ersten Berichten. Bisher habe ich keine gefunden.
Viele Grüße
Carsten
Franz Josef Mertes am :
ich habe eine Ahnung, wieso der eine oder andere nichts mehr über das Netz nicht mehr korrespondieren läßt, – er ist nicht mehr Teilnehmer am Internet.
Viele haben es mit GnuPG (Kryptologie) versucht, manch einer ist dadurch verschwunden….
Was mich angeht, so bin ich einen anderen Weg gegangen: Einen "wasserdichtes" BIOS, also ein ROM ! Zwar läßt es sich nur auf alten BIOS-sen machen, aber es geht. Dann ist der Schadcode in anderen Hardwareteilen (CPU, I/O und USB) zwar noch da, aber er bringt keinen Totalausfall mit sich.
So kann ich in Ruhe abwarten, wie der Schadcode sich im RAM breitmacht.
Mittlerweile kann ich ein Buch darüber schreiben, wie der Schadcode auch andere Systeme lahmlegt – oder nicht.
Daß ich der wenigen Bundesbürger davon weiß, stört mich nicht, schließlich bin Rentner und habe mein Leben hinter mich gebracht.
Gruß
arras
(FJM)
Carsten Eilers am :
naja, die meisten normalen Benutzer scheitern ja schon an der Konfiguration der Programme und der Erzeugung der Schlüssel. Dann gibt es "niemanden" der das nutzt, jedenfalls nicht unter den normalen Empfängern. Also verwendet man gar keine Verschlüsselung. Ist viel einfacher und macht keinen unnötigen Stress.
So lange nichts passiert oder keiner merkt, was passiert, wird sich daran wohl nichts ändern. Ganz egal, wie komfortabel die Programme werden und wie einfach sie sich einrichten und verwenden lassen.
Die Verschlüsselung müsste "out of the box" verfügbar sein und automatisch funktionieren, damit sie im großen Stil verwendet wird. Aber das verträgt sich nicht mit sicher erzeugten Schlüsseln.
Was das BIOS betrifft: Ein nur nach Jumper-Änderung beschreibbarer Speicher würde das Problem auch lösen. Aber selbst wenn es einen Jumper gibt wird der wohl aber Werk meist auf "Beschreibbar" gesteckt werden, damit Updates problemlos möglich sind. Ein Schreibschutz könnte ja zu lästigen Support-Anfragen führen, das möchte man natürlich nicht. Wobei ich bezweifle, dass wirklich viele Normal-Benutzer, die mit dem Öffnen des Rechners und dem Umstecken des Jumpers überfordert werden, überhaupt jemals irgendwo Firmware-Updates installieren.
Viele Grüße
Carsten Eilers